Grandes ciberataques y cómo podrían haberse evitado

En los últimos años los grandes ciberataques dirigidos a Petróleos Mexicanos, Equifax y Target, siempre serán recordados y citados como casos que evidenciaron su debilidad en materia de ciberseguridad, pero sobre todo que jamás debieron suceder. El impacto no solo fue sólo económico sino también moral.

Al respecto, Dave Klein, Director Senior de Ciberseguridad de Guardicore, hizo un análisis sobre estos tres grandes ciberataques y dio respuesta a: ¿qué fue robado?, ¿quién se vio afectado?, ¿cómo ocurrió el ataque?, y principalmente, ¿cómo pudieron haberse evitado?. 

Los tres casos coinciden en problemas de microsegmentación, también conocida como segmentación definida por software, y errores humanos que fueron pieza clave para la violación de los datos y el que hayan puesto en riesgo la información de millones de usuarios. 

A continuación, el directivo expresó algunos argumentos sobre ello:

Pemex

El pasado 10 de noviembre de 2019 Petróleos Mexicanos (Pemex) sufrió intentos de ataques cibernéticos que afectaron al menos el 5% de sus computadoras. El ataque se atribuyó a un actor ciberdelincuente de primer nivel llamado Evil Corp, el cual ha participado en una gran cantidad de ataques cibernéticos muy específicos contra grandes corporaciones; se cree que está detrás del ransomware actual visto en Garmin.

En el caso específico de Pemex, utilizaron el ransomware DoppelPaymer que cifra los archivos de la víctima y busca el rescate mediante el pago con bitcoins; en este caso se demandaba el pago de cinco millones de dólares. A partir de febrero de 2020, han agregado una pieza de extorsión. Supuestamente han recogido archivos de sus víctimas y han amenazado con liberarlos en la Deep Web en un sitio llamado «DoppelLeaks». Pemex se anuncia como una de las compañías cuya información se puede comprar, aunque todavía no se ha visto dicha divulgación ilícita de datos.

• ¿Cómo podría haberse evitado este ataque?

Lo primero y más importante es una mejor protección de los usuarios de Pemex contra los intentos de ingeniería social. La mayoría de estos grandes ciberataques altamente orquestados y planificados comienzan con individuos de ingeniería social dentro de una empresa objetivo a través de correos electrónicos engañosos con URL que conducen a un compromiso inicial.

El departamento de seguridad de esta dependencia pudo haber realizado una mejor microsegmentación, también conocida como segmentación definida por software. El ransomware DoppelPaymer incluye herramientas que buscan las conexiones de red de una máquina para expandirse aún más. Tener buenas políticas en juego que no permitan la propagación lateral del malware a través de la red evitaría un salto desde un segmento de usuario a una infraestructura de red crítica, mecanismos de autenticación y almacenes de datos.

Por fortuna, únicamente las redes administrativas se vieron afectadas en el ataque. La producción de petróleo de Pemex, los sistemas de distribución y los dispositivos SCADA no tuvieron daños colaterales. Sin embargo, al observar que varios actores estatales y criminales hacen grandes avances en apuntar y comprometer los dispositivos SCADA y la infraestructura crítica, las empresas y el gobierno mexicano deberían hacer todo lo posible para garantizar que estén protegidos y que se implementen planes de respuesta a incidentes y, lo que es más importante, que se practiquen.

Equifax

La gran brecha de datos que sufrió la firma estadounidense de información sobre solvencia crediticia Equifax en 2017 afectó a148 millones de estadounidenses y 15 millones de británicos, de los cuales se obtuvieron fechas de nacimiento, números de seguridad social y  licencia de conducir. Además, los piratas cibernéticos accedieron a números de tarjetas de crédito de cerca de 209,000 consumidores y documentos que recogen información personal de aproximadamente 182,000 personas.

• ¿Cómo podría haberse evitado este ataque?

El punto de entrada inicial para los atacantes fue una vulnerabilidad sin parches en sus servicios Web front-end, específicamente en Apache Struts 2.0. De acuerdo con la Cámara de Representantes de los EE.UU., «La falla de la compañía en implementar protocolos de seguridad básicos, incluyendo el monitoreo de integridad de archivos y la segmentación de la red, permitió a los atacantes acceder y eliminar grandes cantidades de datos».

La segmentación era obviamente un problema central para Equifax: la falta de segmentación permitió a los atacantes moverse con facilidad a áreas críticas una vez que atravesaron el perímetro. Esto empeoró por la falta de higiene de los datos; los piratas informáticos pudieron robar los datos debido a un certificado digital desactualizado, que había expirado más de 19 meses antes de la violación.

Target

El gigante estadounidense de venta minorista Target fue objeto de un ataque histórico en 2013 que afectó a 100 millones de clientes, con datos expuestos que incluyen direcciones postales, nombres, direcciones de correo electrónico, números de teléfono y datos de cuentas de tarjetas de crédito y débito. Este es uno de los grandes ciberataques que adquirió proporciones aún mayores al estar diseñado para la temporada de compras previas a la Navidad, entre el 27 de noviembre y el 15 de diciembre.

• ¿Cómo podría haberse evitado?

Los proveedores y servicios de terceros pueden ser el eslabón más débil del ecosistema. Para Target,  la conexión de red con el proveedor de HVAC (Sistemas de calefacción, ventilación y aire acondicionado) fue el punto de entrada para los hackers. Con la adecuada visibilidad, la compañía podría haber visto que se trataba de una conexión arriesgada y un posible punto de incumplimiento. Una vez dentro de la red de Target, los atacantes accedieron a los datos financieros porque no estaban segmentados para cumplir con los requisitos de la PCI-DSS. Por último, los sistemas de punto de venta mal parchados podrían haberse protegido con una mejor administración de la cuenta.

Finalmente, Dave Klein opinó que dichos grandes ciberataques pudieron evitarse comenzando con la visibilidad, identificando activos críticos y las joyas de la corona digital, para conocer en dónde la segmentación puede marcar la diferencia.

Asimismo asegurar que las áreas de cumplimiento estén al inicio de  la lista de tareas pendientes, y  proteger el centro de datos de los enlaces más débiles, es decir, proveedores y distribuidores externos que podrían ponerlos en riesgo. Por último, junto con la higiene de datos subyacente, asegurarse de tener un plan de respuesta a incidentes actualizado y probado por el personal de TI y de negocios.